La verdad que si echamos una mirada al pasado, podemos ver y comprobar cómo ha ido evolucionando el campo de la seguridad informática, desde los primeros cortafuegos pasando por los más avanzados IDS (Sistemas de Detección de Intrusos). De todo ello ha surgido una visión común de necesidad para asegurar nuestros sistemas y proteger nuestros datos.
Poco a poco, pero de manera eficiente, la capa tecnológica ha ido ocupando un espacio importante en las empresas y eso ha hecho que la tecnología evolucione de manera rápida y eficiente.
Es aquí cuando tiene cabida un proyecto como OSSIM, una consola de seguridad central con 22 herramientas open source, sin ningún coste para las empresas.
Sin duda alguna en el mercado actual podemos encontrar todo tipo de cortafuegos, IDS, detectores de vulnerabilidades, programas de monitorización, detectores de anomalías, y un gran surtido de programas.
No obstante esto es una granja que ninguna empresa puede soportar, porque no sólo requiere un gasto económico en cada dispositivo tecnológico, sino que además se necesita afrontar un gasto humano en personal especializado para poder afrontar tal cantidad de eventos (avisos de seguridad), de manera individual.
Esto nos lleva a una cuestión que la tecnología no ha tenido en cuenta en su avance, resumido en este axioma: "La capa tecnológica ha llegado a su nivel más alto; es decir un firewall es un firewall y ya no puede ser más que eso". Lo mismo pasa con otros dispositivos como IDS, detectores de anomalías, y otros.
Las empresas que se deciden por proteger sus redes, adquieren numerosos dispositivos y optan a pagar licencias con un coste muy elevado. Pero éste no es sólo el único problema, el problema real es que el personal técnico va a tener miles de alertas de seguridad, la mayoría con falsos positivos y todo esto multiplicado por cada dispositivo que posean; lo que hace inviable la gestión de seguridad empresarial, ya que no sabemos a qué alerta hacer caso y a cuál no. A este nivel se le conoce como "métrica de seguridad".
¿Qué es OSSIM? Estas necesidades fueron las causantes del proyecto OSSIM. Este consiste en una consola de seguridad central, que nos permite gestionar y saber el nivel de seguridad (métrica) que tiene nuestra empresa. Se trata de un proyecto Open Source, con lo que todo el mundo puede disfrutar de él sin ningún coste, además de poder colaborar en su código para formar parte de su evolución.
OSSIM engloba más de 22 herramientas de seguridad, entre ellas: IDS (Snort), detector de vulnerabilidades (Nessus), firewall (Iptables), detector de sistema operativo (Pof), monitorización en tiempo real y estadísticas (Ntop), detector de anomalías (Rrd), escaneadores (Nmap), y otros.
Todas estas utilidades son las más usadas en su categoría y todas ellas son Open Source, con lo que contamos con un gran número de personas mejorando y actualizando cada una de ellas. Pero además OSSIM no sólo consigue englobar estas herramientas, sino que la fuerza real de OSSIM reside en su motor de correlación, gracias al cual podemos tener una red o varias con millones de alertas de diferentes dispositivos y mediante su potente motor disponer de alarmas reales, sin falsos positivos y de manera centralizada.
Con esto conseguimos que una empresa pueda, no sólo tener un gran número de dispositivos tecnológicos, sino que además sepa en cada momento el nivel de seguridad que tiene y el que desea tener.
Gracias al motor de correlación de OSSIM conseguimos detectar entre otras cosas, virus antes incluso que los propios fabricantes de antivirus, ya que al trabajar de manera centralizada con muchas herramientas, es capaz de detectar anomalías en el funcionamiento de las máquinas, detectando nuevos virus que aún no han sido identificados por nadie:
Ejemplo de detección del gusano Sasser
Tenemos muchas anomalías; esto pasa por la colección de todos los eventos, después en función su comportamiento se valora la prioridad, después pasa por la correlación para contrastar con otras fuentes y al final tenemos una única alarma.
Ejemplo de correlación del motor de OSSIM
1.- Hay un intento de conexión
2.- Hay una respuesta a la conexión
3.- Tenemos persistencia en la misma (aumenta la prioridad)
4.- El comportamiento es anómalo
5.- Se produce la alarma
Con OSSIM ganamos dinero (ahorro en licencias y hardware), y sobre todo ganamos en gestión de la seguridad.
OSSIM actualmente es conocido como una de las mejores plataformas de seguridad. Entre las organizaciones que lo han descargado se encuentran gobiernos, militares e incluso la propia NASA.
El proyecto fue creado y desarrollado por un grupo de especialista en seguridad informática de la empresa Ipsoluciones. Entre sus miembros principales se encuentran: Julio Casal, Dominque Kang, David Gil, Fabio Ospitia, y un largo número de analistas de seguridad dedicados a OSSIM.
¿Te gusta este artículo? Compártelo con tus amigos!
Publicar un comentario